security - Callgraph 如何检测恶意代码?
问题描述
在 Wikipedia 中,我发现调用图可以明显地检测到恶意代码。有人可以解释这到底是如何工作的吗?在 Wikipedia 中只写了以下内容:“调用图也可用于检测程序执行异常或代码注入攻击”。非常感谢!
解决方案
这是关于模式检测的。
例如,如果您知道其中一种代码注入模式中使用的VirtualAllocEx
Windows WriteProcessMemory
APICreateRemoteThread
是以该模式的正确顺序。
然后,您可以生成调用图签名来检测可能是变形的、打包的或以其他方式变异的恶意代码,因此不易受到常规签名匹配的影响,因为变异调用图要困难得多。(例如,请参见此处)
推荐阅读
- elasticsearch - 基于标签提升搜索结果
- ruby - 将基目录注入 RDiscount Markdown 转换
- php - PHP发送邮件时504网关超时
- tfs - 将 BitBucket git 存储库导入 Team Foundation Server 2018
- objective-c - IQkeyboardmanager 工具栏完成按钮关闭屏幕
- sql-server - 比较多行日期的最佳方法
- sql-server - 如何将存储在 NVARCHAR 类型列中的 XML 元素提取到单独的列中
- solr - 安全页面管理员 Solr
- rest - 从文章表中检索“用户名”
- angular - Datepicker在Angular中为空时一直显示无效